http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1078496538
da stehts. Bleibt wohl abzuwarten, wie effektiv das ganze ist, aber wenns auf jedenfall besser als eine Software-Firewall (aka PFW) ist, dann kanns ja nur sinnvoll sein.

...die Möglichkeit das System vor der Funktion eines DHCP-Servers zu schützen...
?(

oi lol

Ja ja die bösen DHCP-Server ;D

an sich ein ganz nettes Feature aber solange weiter alle Ports offen sind bringts nicht wirklich viel.

Original geschrieben von HellHorse
?(

Stimme dir da mal zu, verstehe auch nicht genau, was der Scheiß soll, zumal ein DHCP Server SEHR sinnvoll in größeren Netzen ist.

So braucht man sich nicht mit der ID Vergabe der Rechner rumzuplagen, darum kümmert sich ja der DHCP Server...

> Stimme dir da mal zu, verstehe auch nicht genau,
> was der Scheiß soll, zumal ein DHCP Server SEHR
> sinnvoll in größeren Netzen ist.

Sagen wir DHCP Server sind in großen Netzwerken zwar bequem, stellen aber ein sehr Sicherheitsrisiko dar, da mit dieses viele wichtige Sicherheitsrelevante Client Settings änderbar sind (z.B. ein manipulierter DNS Server), ggf. sogar der Client zum schweigen gebracht werden kann und so eine vorhandene IP Session übernommen werden kann.

Zwischen DHCP Server und Client gibt es sogut wie keine Authentifizierung, d.h. jeder kann einen Manipulierten DHCP Server aufmachen der phys. zugang zum Netz hat. (Notfalls sogar per WLAN Hack)


MfG
Michael Pascal Paepcke

Ich frage mich ja doch, wie eine Netzwerkkarte das mitsniffen verhindern will. Oder das Spoofen von IPs. Hat da jemand ne Idee?

> Ich frage mich ja doch, wie eine Netzwerkkarte
> das mitsniffen verhindern will. Oder das Spoofen
> von IPs. Hat da jemand ne Idee?

Das sniffen zu verhindern wird nicht möglich sein, auch nicht mit IPSec oder IPv6, die Frage ist nur ob man mit dem gesnifften packtinhalten was anfangen kann.

Und das Spoofen und andere Angriffe kann man schon erfogreich bekämpfen, wenn man die TCP/IP Headerinformationen auf ihre Konsistenz prüft anstatt sie einfach stumpf zu bearbeiten wie es der TCP/IP Stack von Microsoft macht (bzw. die meissten anderen Betriebsysteme auch).

Michael Pascal Paepcke

Original geschrieben von Gast
> Ich frage mich ja doch, wie eine Netzwerkkarte
> das mitsniffen verhindern will. Oder das Spoofen
> von IPs. Hat da jemand ne Idee?

Das sniffen zu verhindern wird nicht möglich sein, auch nicht mit IPSec oder IPv6, die Frage ist nur ob man mit dem gesnifften packtinhalten was anfangen kann.

Das laesst sich natuerlich verhindern, aber dann muss die Gegenstelle mitspielen. Und Otto-Normalverbraucher will halt mit seinem DSL-Modem "reden" koennen, und ob das irgendwelche Nvidia-Techniken oder VPN-Server implementiert? Das wage ich ja mal zu bezweifeln. Auch auf LAN-Partys duerfte das eher selten sein.

Und das Spoofen und andere Angriffe kann man schon erfogreich bekämpfen, wenn man die TCP/IP Headerinformationen auf ihre Konsistenz prüft anstatt sie einfach stumpf zu bearbeiten wie es der TCP/IP Stack von Microsoft macht (bzw. die meissten anderen Betriebsysteme auch).

-v, bitte. Was hindert mich daran, den Header einfach komplett zu spoofen, und so einen voellig korrekten Header, aber halt einfach mit einer flacshen Absender-IP zu bauen?

> Das laesst sich natuerlich verhindern

Dann erklähre mir mal wie man das sniffen von IP verkehr unterbinden kann? Ich spreche nicht vom erfolgreichen Analysieren, sondern einfach nur vom sniffen.

Wenn Du dafür einen Weg gefunden hast solltest es zuerst als Patent anmelden und damit viel viel Geld verdienen, denn wenn man das Sniffen unterbinden kann, könnten wir uns das ganze Geld für die IP Crypto Boxen von Cisco sparen.

> -v, bitte. Was hindert mich daran, den Header
> einfach komplett zu spoofen, und so einen voellig
> korrekten Header, aber halt einfach mit einer
> flacshen Absender-IP zu bauen?

Einfach mal google fragen wie das spoofen überhaupt funktioniert.

Eine Firewall die sich gegen Spoofen schützen will, stellt die Integrität der IP Header und deren abfolge sicher. Das heist wenn es in der Sequenznummer oder Absenderinformationen zu einer inkonsistenz innerhalb der abfolge vohergehender IP Pakete gibt innerhalb einer Session werden alle folgenden Packete gedroped.

Eine Firewall überwacht eine Session vom öffnen bis zum schliessen und betrachtet nicht nur jedes IP Packet einzeln.

Das grösste Problem bleibt ja immernoch der User. Können sie das mal nicht fixen in nForce3 :)

Das schlimmste ist wohl, dass wenn es sich als gut erweist, es nicht im nForce4 sein wird.

> Das schlimmste ist wohl, dass wenn es sich als
> gut erweist, es nicht im nForce4 sein wird.

Ja, ich finde es auch sehr schade dass das Soundstorm Feature abgemeldet wurde.

Original geschrieben von Gast
> Das laesst sich natuerlich verhindern

Dann erklähre mir mal wie man das sniffen von IP verkehr unterbinden kann? Ich spreche nicht vom erfolgreichen Analysieren, sondern einfach nur vom sniffen.

[ ] Das meinte ich. Ich meinte das Sniffen in einer Art und Weise, dass die mitgelesenen Pakete wirklich Nutzbar sind, also z.B. der Inhalt gelesen werden kann. Dagegen gibt es Mittel und Wege, IPSec ist einer. Deswegen stand da auch, dass die Gegenseite es unterstuetzen muss.

Eine Firewall die sich gegen Spoofen schützen will, stellt die Integrität der IP Header und deren abfolge sicher. Das heist wenn es in der Sequenznummer oder Absenderinformationen zu einer inkonsistenz innerhalb der abfolge vohergehender IP Pakete gibt innerhalb einer Session werden alle folgenden Packete gedroped.

Eine Firewall überwacht eine Session vom öffnen bis zum schliessen und betrachtet nicht nur jedes IP Packet einzeln.

Das ist doch genau das, was sich stateful inspection schimpft. Aber ich verstehe nicht so ganz, wie mich das davor schuetzt, mit gespooften IPs Angriffe zu fahren. Ich denke da an so lustige Leute, die nach einem Portscan die IP, die da angeblich gescannt hat, aussperren, was sich dann wunderbar fuer einen DoS-Angriff nutzen laesst (IP auf die des genutzten DNS gespooft, und schon gibt's keine DNS-Aufloesung mehr). Hast du mal ne Seite, die da Gegenmassnahmen kennt? Ich habe noch nichts dementsprechendes gelesen...